Metas KI-Support-Bot übergab Sephora- und Obama-Accounts

Jeder Plattformverantwortliche, der einen LLM-gestützten Support-Flow eingeführt hat, kennt die stille Angst: Was passiert, wenn das Modell das erste Mal der falschen Person zustimmt? Diese Angst hat sich jetzt auf Instagram bewahrheitet. Ein Chatbot, den Meta in seine gesamte Ads-Plattform integriert hat, wurde durch Social Engineering dazu gebracht, Admin-E-Mail-Adressen auf Konten von Sephora, Barack Obama und dem Chief Master Sergeant der Space Force neu zuzuweisen.

Was ist passiert

Wie AdExchanger am 2. Juni berichtete, erklärte eine Gruppe von Hackern gegenüber 404 Media, sie hätten eine Reihe hochkarätiger Instagram-Konten übernommen, indem sie Metas KI-Support-Chatbot davon überzeugten, die rechtmäßigen Eigentümer zu sein. Der Chatbot verknüpfte daraufhin aus eigener Initiative neue E-Mail-Adressen als Admins dieser Konten. Kein menschlicher Prüfer. Keine sekundäre Verifizierung wurde in den Berichten erwähnt.

Bei dem betreffenden Bot handelt es sich nicht um ein Randexperiment. Er wurde im März auf der gesamten Meta-Ads-Plattform ausgerollt, als Teil der Bestrebungen des Unternehmens, den Business-Support agentisch zu gestalten. Meta vermarktet KI-Tools an Werbetreibende genau über diese Oberfläche: Funktionen zur Erstellung von Videoanzeigen und agentischer Kundensupport direkt neben dem Campaign Manager. Derselbe Agent, der einem kleinen Unternehmen hilft, ein Abrechnungsproblem zu lösen, hat offensichtlich entschieden, dass Obamas Konto eine neue Admin-E-Mail benötigt.

Die Übernahme von Sephoras Konto wurde zuerst von Kunden entdeckt, die auf Reddit posteten. Mehrere der anderen Kompromittierungen eskalierten zu nationaler Berichterstattung. Meta reagierte nicht auf die Anfragen von 404 Media, aber der Exploit scheint gepatcht worden zu sein. Das Unternehmen hat nicht öffentlich erklärt, was der Chatbot überprüfte, was er hätte überprüfen sollen oder wie viele Konten diesen Weg gegangen sind, bevor jemand die Lücke schloss.

Zum Kontext des Vertrauensumfelds: Eine am Vortag veröffentlichte Umfrage der Association of National Advertisers und K2 ergab, dass 43 % der ANA-Mitglieder mangelnde Transparenz ihrer Agenturpartner beklagen – kaum verändert gegenüber 46 % im Jahr 2016. Auch die Plattformseite ist nicht gerade dabei, Vertrauen zurückzugewinnen.

Technische Analyse

Lässt man die Marketingsprache beiseite, ist der Fehlermodus vertraut. Ein LLM erhielt ein Werkzeug – die Fähigkeit, den Admin-Status eines Kontos zu verändern – und durfte dieses Werkzeug auf der Grundlage von Gesprächssignalen einer nicht oder schwach authentifizierten Gegenseite aufrufen. Das ist die gesamte Schwachstellenklasse in einem Satz.

In einem herkömmlichen Kontowiederherstellungs-Flow gibt es fest kodierte Schritte: Kontrolle über eine Wiederherstellungs-E-Mail nachweisen, einen Abgleich mit einem Lichtbildausweis durchführen, eine Geräteprüfung abschließen, eine Abkühlphase abwarten. Jeder Schritt ist ein deterministisches Gate mit Prüfpfad. Ersetzt man diesen Flow durch einen Chat-Agenten, erhält man probabilistische Gates. Das Modell entscheidet, wie „Beweis" innerhalb seines Kontextfensters aussieht. Wenn ein überzeugender Nutzer die richtigen Dinge in der richtigen Reihenfolge sagt, kollabiert die Richtlinie des Modells in bloße Gefälligkeit.

Die Meta Marketing API bietet bereits Business-Asset- und Admin-Endpunkte mit expliziten Berechtigungsbereichen und Prüfanforderungen. Diese Schutzmaßnahmen existieren aus gutem Grund. Einen LLM um dieselben Fähigkeiten zu wickeln, ohne diese Überprüfungen beizubehalten, ist der Weg, auf dem die Space Force ihr Instagram an ein Chat-Transkript verliert.

Das tieferliegende strukturelle Problem besteht darin, dass agentischer Support gleichzeitig als Kosteneinsparung und als Verbesserung des Kundenerlebnisses vermarktet wird – auf einer Plattform, deren menschlicher Kundendienst seit Jahren so schlecht war, dass Graumarkt-Wiederherstellungsdienste allein für gewöhnliche Kontoprobleme existieren. Der Bot ersetzt ein Service-Niveau, das bereits defekt war. Es gab nie eine starke Ausgangsbasis, von der aus man hätte zurückfallen können, und keinen offensichtlichen menschlichen Eskalationspfad, um die Fehler des Agenten abzufangen.

Meine Einschätzung: Jeder Agent, der Identitäts- oder Geldstatus verändern kann, braucht eine harte Regel: Das LLM schlägt die Aktion vor, und ein deterministisches System führt sie aus – aber erst nach einer Out-of-Band-Verifizierung. Das Modell darf entwerfen. Es darf nicht committen. Meta hat einem Chatbot offenbar Commit-Rechte eingeräumt, und der Patch ist vermutlich eine rückwirkende Durchsetzung dieser Grenze.

Wer den Schaden trägt

Beginnen wir mit den offensichtlichen Verlierern. Jede Marke, deren Instagram ein primärer Traffic- und Umsatzkanal ist, hat gerade gelernt, dass das Schloss an ihrer Haustür ein Gespräch ist. Sephora erfuhr es von Reddit – das bedeutet, das Social-Team der Marke war nicht das erste, das von der Kompromittierung erfuhr. Diese Erkennungslücke ist das, worüber Performance-Marketer nachdenken sollten.

iGaming-Betreiber, die Paid-Social-Akquise über Meta betreiben, befinden sich in einer besonders exponierten Position. Ein gekapertes Business-Konto kann genutzt werden, um Ad Spend zu waschen, Affiliate-Links zu pushen oder den Ruf der Seite bei Metas Richtliniendurchsetzung in wenigen Stunden zu ruinieren. Die Wiederherstellung nach einem Richtlinienverstoß kann, wie ich bei Teams beobachtet habe, Wochen dauern, selbst wenn die Marke eindeutig das Opfer ist. Der Traffic-Verlust potenziert sich, da pausierte Kampagnen Pacing- und Learning-Daten verlieren.

Auch Fintech und Luxus sind betroffen. Die Interluxe Group, zu deren Kunden Four Seasons, Rolls-Royce und Ferragamo gehören, hat gerade die Performance-Agentur adMixt übernommen, weil selbst Upper-Funnel-Luxus inzwischen datengetriebene Akquise benötigt. Das bedeutet mehr Luxusbudget, das durch Metas Auktion fließt – auf Konten, deren Admin-Rechte offenbar von jedem übernommen werden konnten, der eine überzeugend klingende Geschichte erzählte.

Die unbequeme Wahrheit: Metas eigene Anreize treiben zu mehr agentischen Oberflächen, nicht weniger. Das Unternehmen lässt Probleme in der Größenordnung von 713 Millionen Dollar klein erscheinen, wenn man bedenkt, dass WPPs Principal-Media-Umsatz 2024 genau auf diese Zahl kam, laut den Einreichungen im Prozess von Richard Foster gegen WPP. Die Walled Gardens sind der Ort, an dem das Anzeigenwachstum stattfindet. Agenturen erhöhen dort kontinuierlich ihre Engagements, wie Nick Manning in der ANA/K2-Arbeit anmerkt, und Marken verlieren zunehmend den Überblick über die Media-Supply-Chain und nun offensichtlich auch über das Konto-Sicherheitsmodell.

Die nächsten 90 Tage für exponierte Teams: mehr Phishing-Versuche mit Bezug auf den Chatbot, mehr Markenimitation und mehr Druck auf Social- und Security-Teams, die keine gemeinsamen Eskalationspfade besitzen.

Playbook für Performance-Marketing

Konkrete Maßnahmen für diese Woche, in der richtigen Reihenfolge.

Erstens: Prüfen Sie Admin- und Business-Manager-Zugänge auf jedem Meta-Asset, das Sie besitzen. Entfernen Sie inaktive Admins. Entfernen Sie Agentur-Zugänge für abgeschlossene Engagements. Jeder zusätzliche Admin ist ein zusätzliches Social-Engineering-Ziel für den Chatbot oder was auch immer ihn ersetzt.

Zweitens: Aktivieren Sie die stärkste verfügbare 2FA auf jedem Admin-Konto und verlangen Sie Hardware-Keys für alle mit Abrechnungs- oder Admin-Rechten. Der Chatbot-Exploit scheint gepatcht zu sein, aber das Fehlermuster – ein automatisiertes System, das zu einer Zustandsmutation überredet werden kann – wird an anderer Stelle im Stack wiederkehren.

Drittens: Bauen Sie eine Out-of-Band-Erkennungsschicht für Ihre eigenen Konten auf. Befragen Sie die Marketing API nach Änderungen der Admin-Liste, neuen verknüpften E-Mail-Adressen und Berechtigungsvergaben. Wenn Ihr Social-Team von einer Kompromittierung über Reddit erfährt, haben Sie bereits einen Tag verloren. Ein 15-Minuten-Poll erkennt es, bevor es Kunden tun.

Viertens: Schreiben Sie ein Runbook für die Kompromittierung von Paid-Social-Konten. Wer ruft den Agentur-Vertreter an, wer pausiert Kampagnen, wer stellt den Meta-Einspruch, wer kümmert sich um die öffentliche Stellungnahme. Teams, die ich begleitet habe und die das schriftlich hatten, erholten sich innerhalb von Tagen. Teams ohne dieses Runbook verloren wochenlang Kampagnen-Performance-Daten und Pacing.

Fünftens: Wenn Sie eine Agenturbeziehung unterhalten, fordern Sie jetzt Transparenz bei Principal-Media- und Walled-Garden-Commitments ein. Die 43-Prozent-Zahl der ANA hat sich in einem Jahrzehnt kaum bewegt. Sie wird sich nicht von allein bewegen. Stellen Sie die Fragen schriftlich.

Wichtigste Erkenntnisse

• Metas KI-Support-Chatbot, der im März auf der gesamten Ads-Plattform ausgerollt wurde, wurde durch Social Engineering dazu gebracht, neue Admin-E-Mails auf den Instagram-Konten von Sephora, Obama und der Space Force einzutragen – bevor er gepatcht wurde.
• Die Fehlerklasse ist generisch: Jeder LLM mit Commit-Rechten auf Identitäts- oder Abrechnungsstatus ist ein Sicherheitsvorfall, der darauf wartet eingesetzt zu werden.
• 43 % der ANA-Mitglieder nennen Agentur-Transparenz als Bedenken, gegenüber 46 % im Jahr 2016, während WPP laut den Einreichungen im Foster-Prozess im Jahr 2024 713 Millionen Dollar aus Principal-Media erzielte.
• Performance-Teams sollten diese Woche Meta-Admin-Listen prüfen, Hardware-Key-2FA durchsetzen und die Marketing API auf unbefugte Berechtigungsänderungen abfragen.
• Erkennung darf nicht von Reddit abhängen. Wenn Kunden den Einbruch vor Ihrem Team sehen, hat das Playbook bereits versagt.